Neue Angriffswelle zielt auf „TikTok for Business“-Accounts

Es beginnt unscheinbar – mit einem Link, der auf den ersten Blick vertrauenswürdig wirkt. Vielleicht eine Nachricht, vielleicht ein vermeintlicher Hinweis auf eine Kampagne oder eine Karrierechance. Doch hinter dieser Fassade verbirgt sich eine der aktuell raffiniertesten Phishing-Kampagnen, die gezielt Nutzer von TikTok for Business ins Visier nimmt.

Dr. Martin J. Krämer, CISO Advisor  bei KnowBe4 ordnet ein:

Sicherheitsforscher haben kürzlich aufgedeckt, wie Angreifer systematisch Marketing-Teams ins Visier nehmen – also genau jene Menschen, die täglich mit Werbekampagnen arbeiten und über Accounts verfügen, die Reichweite, Budget und Glaubwürdigkeit vereinen. Für Cyberkriminelle sind diese Konten ein idealer Einstiegspunkt: Einmal übernommen, lassen sich darüber täuschend echte, aber schädliche Anzeigen verbreiten, Betrug skalieren oder Schadsoftware in Umlauf bringen.

Der Angriff wirkt – weil er so glaubwürdig ist

Was diese Kampagne so gefährlich macht, ist weniger ein einzelner Trick als vielmehr das perfekt inszenierte Zusammenspiel mehrerer technischer Kniffe. Der Angriff beginnt häufig mit einer Weiterleitung über eine legitime Google-Storage-URL – ein Detail, das viele Nutzer in falscher Sicherheit wiegt. Schließlich gilt: Wenn Google im Spiel ist, kann es doch kaum gefährlich sein. Doch genau diese Annahme nutzen die Angreifer aus.

Nach der Weiterleitung folgt ein CAPTCHA-ähnlicher Check, der automatisierte Sicherheitsprüfungen blockiert. Für den echten Nutzer wirkt alles weiterhin plausibel. Erst danach erscheint die eigentliche Falle: täuschend echte Webseiten, die entweder TikTok for Business oder bekannte Dienste wie Karriereportale imitieren. Wer hier seine Daten eingibt, ahnt oft nicht, dass er sich bereits mitten im Angriff befindet.

Angriff trotz Zwei-Faktor-Schutz erfolgreich

Besonders brisant: Selbst Nutzer, die auf zusätzliche Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) setzen, sind nicht automatisch geschützt. Möglich macht das eine Technik namens „Adversary-in-the-Middle“.

Dabei schaltet sich ein Phishing-Tool quasi unsichtbar zwischen Nutzer und echten Dienst. Es agiert als Vermittler, zeichnet jedoch im Hintergrund alles auf: Zugangsdaten, Sitzungscookies und sogar Einmal-Codes. Das Ergebnis ist fatal – Angreifer können sich in Echtzeit Zugriff verschaffen, ohne dass klassische Schutzmechanismen greifen.

Wenn ein Login gleich mehrere Systeme kompromittiert

Die Risiken vervielfachen sich durch die weit verbreitete Nutzung von Single Sign-On. Wer sich etwa mit seinem Google-Konto bei TikTok anmeldet, öffnet im Ernstfall gleich mehrere Türen gleichzeitig. Wird ein Zugang kompromittiert, kann das auch andere verknüpfte Systeme betreffen – von Werbeplattformen bis hin zu internen Unternehmensanwendungen. Der Schaden bleibt also selten auf einen einzelnen Account begrenzt. Stattdessen droht eine Kettenreaktion mit Zugriff auf sensible Daten und zentrale Geschäftsprozesse.

Phishing wird immer schwerer zu erkennen

Die aktuelle Kampagne steht exemplarisch für eine Entwicklung, die IT-Sicherheitsverantwortliche zunehmend beschäftigt: Phishing wird professioneller, dynamischer und technisch ausgefeilter. Klassische Warnsignale – etwa verdächtige Domains – verlieren an Aussagekraft, wenn Angreifer ständig neue Webseiten registrieren und ihre Infrastruktur blitzschnell wechseln. Gleichzeitig erschweren legitime Weiterleitungen und Bot-Schutzmechanismen die Arbeit automatischer Sicherheitssysteme erheblich. Mit anderen Worten: Die Technik allein wird es künftig nicht richten.

Der Mensch bleibt die letzte Verteidigungslinie

So paradox es klingt – trotz aller technologischen Raffinesse hängt der Erfolg solcher Angriffe letztlich an einem sehr menschlichen Moment: dem Klick auf einen Link, dem Ausfüllen eines Formulars, der Entscheidung, einer Seite zu vertrauen.

Gezielte Schulungen können Mitarbeitende dafür sensibilisieren, typische Muster zu erkennen: ungewöhnliche Weiterleitungen, leicht veränderte URLs, unerwartete Login-Aufforderungen. Entscheidend ist dabei nicht nur Wissen, sondern Routine – Verhaltensweisen, die auch unter Zeitdruck greifen.

Moderne Sicherheitsstrategien gehen deshalb über klassische IT-Maßnahmen hinaus. Sie setzen auf kontinuierliche Awareness-Programme, realitätsnahe Phishing-Simulationen und individuell zugeschnittene Trainings. Ziel ist es, aus potenziellen Schwachstellen eine aktive Verteidigungslinie zu machen. Denn am Ende entscheidet oft ein einziger Augenblick darüber, ob ein Angriff scheitert – oder gelingt.